网站开发之安全测试总结(一)

简单的总结一下对一个网站的黑盒安全测试

漏洞最可能出现的地方:

(1)、输入框
(2)、表单
(3)、文件上传/下载
(4)、Url
(5)、存在漏洞的插件(特别注意使用了富文本或提供了文件上传功能的插件)
(6)、等等

明白了漏洞可能存在的地方,做测试时就应当重点测试。

网站存在的漏洞(bug)一般如下:

(1)、表单非严格验证bug
描述:对用户提交数据没有做严格的后台验证、数据格式可以随意构造(所有前台的数据验证都只是为了提供一个更好地		用户体验(快速的给用户一个错误反馈),并不能保证数据的合法性和安全性)
可能存在地方:所有的存储性表单提交
如何避免:后台所有用户传递过来的数据做严格的校验
(2)、Sql注入
描述:通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。通过Sql注入,可能可以绕过某些验证(登录)、越权访问数据库表的信息等等
可能存在地方:查询搜索框(表单)
如何避免:可以自己做过滤操作,不过推荐使用一些高级的框架(根本不会存在Sql注入)
(3)、XSS攻击(跨站脚本攻击)
描述:用户可以上传构造好的恶意脚本语句保存到数据库中,在其它用户访问某些页面时,那些恶意脚本加载并执行,可以盗取用户帐户,修改用户设置,盗取/污染cookie,做虚假广告等。
可能存在地方:所有的存储性表单提交
如何避免:一是自己对上传数据做格式限制(不允许标签或过滤标签),而是使用框架自动或阻止非法标签提交;二是在页面上面渲染后台传来的数据时最好使用html编码或JavaScript编码。一般两种方案都采用。(当然一些开发框架两种机制都提供了,比如ASP.NET)
(4)、文件上传漏洞
描述:用户可以上传任意格式(或某些不应该的,比如.aspx,.php等)的文件到服务器,并且用户还能通过一些手段获得上传后文件的路径。
可能存在地方:存在于文件上传的页面(头像更新等)
如何避免:严格限制上传文件的格式,只允许特定的文件上传,其次,对文件上传后的路径做一定的保护措施。
(5)、文件下载漏洞
描述:利用url构造,可以下载服务器上面的任意或指定外的文件。
可能存在地方:存在于文件下载的页面
如何避免:不提供文件的绝对/相对路径下载,而是通过文件的标识符下载(把下载逻辑封装到后台)
(6)、越权访问
描述:由于后台逻辑的错误,造成用户可以访问本不应该访问的页面、信息等等。
可能存在地方:未定
如何避免:首先开发的时候就要注意,开发完毕之后最好做全面的测试
(7)、目录遍历漏洞
描述:由于配置文件的错误,导致了一些本不应该共享的目录被共享了,就造成了用户可以任意访问目录。
可能存在地方:一般不好发现,最简单的发现方式是通过程序扫描。
如何避免:严谨
(8)、弱口令
描述:由于用户名和密码这些认证登录信息十分简单造成的(初始账号、密码等等)
可能存在地方:所有认证登录的表单
如何避免:限制用户名与密码的长度、增加其复杂度,使用二次验证等

了解这些网站安全漏洞的同时,也希望大家提高自己开发网站的安全意识,应该尽量避免这些漏洞!
另外,你是否也想找一个网站去测试测试!!!Come on!😏

posted @ 2017-03-01 13:57  OneForCheng  阅读(505)  评论(0编辑  收藏  举报